Sicarii

Überblick

Sicarii ist eine Ransomware-as-a-Service-Operation, die sich mit pro-israelischer beziehungsweise jüdischer Symbolik inszeniert. Ihr erklärtes Ziel sind Organisationen in arabischen und mehrheitlich muslimischen Ländern, während israelische Systeme bewusst ausgenommen werden. Damit verbindet die Gruppe finanziell motivierte Erpressung mit einer ausgeprägt ideologischen Stoßrichtung. Für den Erstzugang nutzt Sicarii vor allem ungeschützt aus dem Internet erreichbare Dienste aus, insbesondere offen zugängliche RDP-Zugänge sowie verwundbare Fortinet-Geräte. Als RaaS-Modell stellt die Operation Partnern eine Infrastruktur zur Durchführung von Angriffen bereit. Im weiteren Verlauf wies die Administration die beteiligten Operatoren an, auf die Plattform BQTLock umzuziehen, was auf eine enge Verflechtung beziehungsweise einen Wechsel zwischen den beiden Ökosystemen hindeutet. Charakteristisch für Sicarii ist somit die Kombination aus opportunistischer Ausnutzung exponierter Fernzugriffs- und Perimeter-Dienste und einer klaren regionalen sowie religiös-politischen Zielauswahl.

Taktiken & Vorgehen

Den Erstzugang erlangt Sicarii über gültige Konten, das Ausnutzen öffentlich erreichbarer Anwendungen, Drive-by-Kompromittierung sowie Phishing in mehreren Varianten, darunter Spearphishing per Anhang, Link und Sprachanruf. Zur Ausführung kommen PowerShell, die Windows-Eingabeaufforderung, Visual Basic, Windows Management Instrumentation und geplante Tasks zum Einsatz. Für Persistenz sorgen manipulierte Konten, Windows-Dienste, Registry-Run-Keys, IIS-Komponenten und DLL-Search-Order-Hijacking. Zur Verschleierung dienen Packing, Masquerading, Prozess-Injektion, das Deaktivieren von Schutzwerkzeugen und der Firewall sowie das Entfernen von Spuren. Anmeldedaten werden über OS Credential Dumping, Keylogging und Password Spraying erbeutet. Die laterale Bewegung erfolgt über RDP, SMB-Admin-Freigaben und SSH. Abschließend werden Daten exfiltriert sowie verschlüsselt; ergänzend dienen Service Stop, das Unterbinden der Systemwiederherstellung und Disk Wipe der maximalen Wirkung.

Schutzmaßnahmen

Da Sicarii offen erreichbare RDP-Zugänge und SMB-Admin-Freigaben für laterale Bewegung nutzt, sollten Fernzugänge über VPN und Mehr-Faktor-Authentisierung abgesichert und nicht direkt aus dem Internet erreichbar gehalten werden. Öffentlich erreichbare Anwendungen und Perimeter-Geräte sollten gehärtet und zeitnah gepatcht werden. Gegen Phishing sollten E-Mail-Filterung und die Sensibilisierung der Beschäftigten umgesetzt werden. Die Ausführung von PowerShell, Windows-Skripten und WMI sollte eingeschränkt und protokolliert werden. Schutzwerkzeuge und Firewall sollten gegen Deaktivierung gehärtet, gültige Konten überwacht und Password Spraying durch Sperrrichtlinien erschwert werden. Zum Schutz vor Datenverschlüsselung und Disk Wipe sollten offline gehaltene, vom Netzwerk getrennte Sicherungen vorgehalten werden.